Дальше это смотря как у тебя сейчас клоака спроектирована, но в целом идея поднять дополнительную ноду, обложить её фаерволами шоб из пользовательских сегментов был deny и не оферить её клиентам вообще
После этого запретить админку на всех оставшихся нодах, на которые ходят пользователи/сервисы за токенами
K
Keycloak - русскоговорящее сообщество
16.07.2026 16:11
Так... а дальше? второй инстанс с админкой, смотрящий на единую БД с тем инстансом, что в Ынтырнэт выставлен?
K
Keycloak - русскоговорящее сообщество
16.07.2026 16:10
Вон там есть все, как вырубать админку
K
Keycloak - русскоговорящее сообщество
16.07.2026 16:10
А ну да :)
https://www.keycloak.org/server/features
K
Keycloak - русскоговорящее сообщество
16.07.2026 16:07
По идее значит можно админку выпилить
K
Keycloak - русскоговорящее сообщество
16.07.2026 16:07
@LebedevDmitry глянь че нашлось
https://github.com/keycloak/keycloak/blob/main/services/src/main/java/org/keycloak/services/resources/admin/AdminRoot.java
@Path("realms")
public RealmsAdminResource getRealmsAdmin() {
HttpRequest request = getHttpRequest();
if (!isAdminApiEnabled()) {
throw new NotFoundException();
}
K
Keycloak - русскоговорящее сообщество
16.07.2026 15:53
ну обычно есть какой-нибудь сертифицированный waf, которому они согласятся поверить
K
Keycloak - русскоговорящее сообщество
16.07.2026 15:52
Да, и это будет трейдоф если безопасники упрутся рогом, это один фиг не полное выполнение требования изоляции будет, потому что все ноды равноправные как ни крути, админку технически вроде никак не выключить, мб только jar вырубать
Поэтому надо говорить мы требование частично выполним, но вот ещё надо прикрутить на реверс прокси запретов, сойдёт за компенсирующие меры